На Linux свирепствует бекдор, распространяющийся под видом документа Microsoft Office Опции

[--Kalan--]

Специалисты по борьбе с киберугрозами из компании «Доктор Веб» исследовали новую троянскую программу, написанную специально для Linux, и по итогам проделанной работы опубликовали подробный отчёт, призванный вооружить пользователей полезными знаниями о зловреде.

Речь о бекдоре под названием Linux.BackDoor.FakeFile.1, который, по ряду признаков, распространяется в архиве под видом PDF-файла, документа Microsoft Office или Open Office. При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common в домашней директории пользователя. После этого в папке, из которой был запущен, зловред ищет скрытый файл со своим именем и перемещает его на место исполняемого файла.

Далее запускается алгоритм проверки имени дистрибутива Linux, который используется на устройстве жертвы, и, если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для собственного автоматического запуска. Затем троянец, предварительно расшифровав конфигурационные данные из собственного файла, запускает два потока: один служит для обмена данными с управляющим сервером, второй отслеживает длительность соединения.

Linux.BackDoor.FakeFile.1 может передавать на управляющий сервер список содержимого заданной папки, указанный файл или папку со всем содержимым; удалять файлы на заражённом компьютере и создавать новые; организовывать backconnect и запускать sh, а также устанавливать права 777 на указанный файл. Кроме того, троянец не требует привилегий root для своей работы, а следовательно, способен выполнять вредоносные функции с правами текущего пользователя, от имени которого был запущен.

Источник

[jamakasi]

способен выполнять вредоносные функции с правами текущего пользователя, от имени которого был запущен.

Ахах, удачи с таким могучим вирусом. У меня пользователь под которым работает браузер отдельный, пусть хотябы попытается запуститься или прописаться в .bash_profile.
Каждый раз ржу с таких вот отчетов вирусных исследователей, как же сильно они хотят продавать свои антивирусы еще и на юниксы но все никак не могут этого добиться.

[NanoBot-AMK]

Не понимаю, как ПДФ файл может заразить компьютер, это же просто формат для отображения текста, ну да, там достаточно сложно. Но всё равно, я так понимаю что создатели формата PDF и других форматов, специально заложили механизмы для запуска вредоносного кода, короче, троцкисты, сионисты, фашисты. РАССТРЕЛЯТЬ!!!

[Gerolt]

NanoBot-AMK, Скорее самораспаковывающийся архив вида имя.пдф.зип, хотя мне казалось под линуксом такое добро работать не должно. По идее должен долбануться об права, мол дайте мне пароль для рута. Или я что-то путаю.
В общем доктор как всегда в своё репертуаре, что-то где-то как-то заражает и хана, купите наш антивирус.

[Trollz0r]

Читается как описание программного продукта, который я должен купить, бгг

[jamakasi]

NanoBot-AMK, макросы как и во многих других серьезных форматах документов. В том же ворде\экселе по мимо макросов есть еще и целый vba язык.